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Beschreibung 



Die Erfindung bezieht sich auf cin Verfahren zur 
DurchfOhrung eines Geheimcodeverglciches gemaB 
dem Oberbe^f des Patentanspnichs. 

Eine hierbei verwendete Datenaustauscheinrichtung 
besteht aus emer Dateneingabe-ZDatenausgabegerit 
(Tenninal) und einem mikroprozessorgestiitzten, trag- 
baren Datentrager mit einem EEPROM-Speicher (Elec- 
trically Erasable Progranunable Read Only Menaory). 
insbcsondere eine Mikroprozessor-Chipkarte, Jcde 
Transaktion zwischen Terminal und tragbarem Daten- 
trager beginnt mit dem Geheimcodevergleidi, welcher 
zur OberprQf ung der Identitat des rechtmaBigen Daten- 
trager-Benutzers dient Der nur dem rechtmaBigen Be- 
nutzer bekannte Geheimcode (z. B. die Personal Identi- 
fication Number, PIN) ist in dem tragbaren Datentrager 
gespeichert Der Benutzer gibt den Geheimcode zur 
Identifiaerung Qber das Terminal cin. Der Vergleich des 
eingegebenen Geheimoodes mit dem im tragbaren Da- 
tentrager gespeicherten Geheimcode crfolgt innerhalb 
des tragbaren Datentragers. Vom tragbaren Datentra- 
ger wird ein Signal erzeugt. das anzeigt, ob der eingege- 
bene Geheimcode mit dem gespeicherten Qbereins- 
timmt Oder nicht Wenn der Geheimcode falsdi einge- 
geben wurde erfolgt ein Hmweis an das Terminal Die 
Eingabe des Geheimcodes kann n-mal wiederholt wer- 
den, um dem rechtmaBigen Benutzer bei hrtumlich 
falsch eingegebenen Geheimcodes weitere Identifizie- 
rungsversuche zu ermdglichen. Als maximale Zahl von 
Fehlversuchen wird flblicherweise der Wert drei ge- 
wahlt Zu Registrierung der Zahl der Fehlversuche weist 
der tragbare Datentrager im nicht flflchtigen EEPROM- 
Speicher einen Fehlbedienungszahler auf. Bei einem 
falsch eingegebenen Geheimcode wird der Fehlbedie- 
nungszahler in Richtung auf den vorbestimmten End- 
wert ftir die maximale 2^hl von Fehlversuchen je nach 
Logik um eins erhSht bzw. erniedrigt Beim Erreichen 
des vorbestimmten Endwertes wbd der tragbare Daten- 
trager dann gesperrt, damit sind weitere Identifizie- 
rungsversuche nicht mehr zugelassen. 

Ein derartiges Verfahren ist in der DE 2 62 127 Al 
beschrieben. 

Aufgrund der heutigen Chiptechnologie ist dieses 
Verfahren allcrdings sehr problematisch. Zur Anderung 
des Fehlbedienungszahlers im Fall eines falsch eingege- 
benen Geheimcodes ist eine Programmierspannung er- 
forderlich, die von einer im tragbaren Datentrager inte- 
grierten Ladungspumpc erzeugt wird. Das Ansteuem 
der Ladungspumpc und der damit zwangslaufig verbun- 
dene Anstieg des Versorgungsstromes fur den tragba- 
ren Datentrager ist in eiirfacher und allgemein bekann- 
ter Weise extern mittels eines StrommeBgerates zu de- 
tektieren. Fiir einen mit der Technik vertrauten, unbe- 
fugten Benutzer ist es ein leichtes, eine Detektorschal- 
tung zu bauen, die den Start der Ladungspumpc signali- 
siert und die Ladungspumpc des tragbaren Datentra- 
gers in geeigneterweisc stoppt (z. B. durch ein "Ziehen 
der Reset-Leitung"). Auf diese Weise wird das Setzen 
des Fehlbedienungszahlers wirksam unterbunden. Da- 
mit ist die Mdglichkeit einer unbegrenzten Zahl von 
Fehlversuchen gegcben. Durch die damit verbundene 
indirekte Signalisicrung eines falsch eingegeben Ge- 
heimcodes, ist es dann moglich den richtigen Geheimco- 
de zu ermitiein. Bei der Verwendung der ublicherweise 
4-stelligen PIN als Geheimcode sind hierfur nur maxi- 
mal 10000 Versuche ndtig, die elektronisch relativ 
schnell durchzufUhren sind 



Zur L5sung dieses ^Bems wird in der 
DE 28 58 819 C2 vorgesdilaPTdaB das Verhalten des 
Datentrager nach auBen sowohl fflr Fall eines positiven 
als auch im Fall eines negativen Geheimcodeverglciches 
5 vollstandigsymmetrischsein soil Im negativen FaUwu-d 
gem&B der DE2858819 C2 im Fehlbedienungszahler 
geschrieben; im positiven Fall wird ein Zugriffsbit ge- 
schrieben. Damit soil sichergestellt sein, daB die erhahte 
Stromaufnahme in beiden Fallen gleidi ist, so daB erne 
10 Manipulation von auBen nicht mOglich ist Ein vollstan- 
dig symmetrisches Verhalten ist jedoch in der Realitat 
nicht zu erzielen; insbesonderc bietet unterschiedliches 
Zeitverhalten der detektierbaren Stromaufnahmen in 
den beiden Fallen einen Ansatzpunkt filr BetrQger. 
15 Aufgabe der Erfindung ist es daher, ein Verfahren zur 
DurcMflhrung eines Geheimcodeverglciches zu schaf- 
fen, so daB ein optimaler Schutz des tragbaren Daten- 
tragers vor MiBbrauch gewahrleistet ist 
Diese Aufgabe wird durch die kennzeichnenden 
20 Merkmale des Patentanspruches geldst 

Zu Beginn des Verfahrens wird der jeweils aktuelle 
Wert des Fehlbedienungszahlers (FBZ) in einer RAM- 
Zelle (Random Access Memory) zwischengespeichea 
Ein Schreib-/L6schvorgang in einer RAM-Zelle ist von 
25 auBen nicht zu detektieren. Nach erfolgter Zwischen- 
speicberung win! dann der Wert des Fehlbedienungs- 
zahlers (FBZ) auf einen vorbestimmten Ehdwert fOr die 
maxhnale Zahl von Fehlversuchen gesetzt; in diesem 
FaUe der Wert Null Im AnschluB hieran wird der Ge- 
30 heimcodevergleich durchgefOhrt Bei einem positiven 
Vergleichsergebnis, d. h. Obereinstinunung des eingege- 
benen Geheimcode mit dem im tragbaren Datentrager 
gespeicherten Geheimcode. wird der jeweilige Wert der 
RAM-Zelle in den Fehlbedienungszahler (FBZ) zurflck- 
35 geschrieben und der Datentrager fiir eine weitere Bear- 
beitung freigegeben. Bei einem negativen Vergleichser- 
gebnis wird der Wert der RAM-Zelle um eins verrin- 
gert, was extern nicht zu detektieren ist, und der verrin- 
gerte Wert i n den Fehlbedienungszahler (FBZ) zurflck- 
40 geschriebea FUr einen Betrtiger vorteilhafte Manipula- 
tionen am Fehlbedienungszahler kdnnen nicht vorge- 
nommen werden. Eine Unterbrechung der Stromver- 
sorgung hatte eine Sperrung des tragbaren Datentra- 
gers zur Folge. 
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Patentanspruch 

Verfahren zur Durchfahrung eines Geheimcode- 
vergleiches zur Benutzeridentifizierung bei Bear- 
beitungsvorgangen mit einem mikroprozessorge- 
stQtzten, tragbaren Datentrager, welcher einen 
EEPROM-Speicher (Electrically Erasable Pro- 
grammable Read Only Memory) aufweist, und ei- 
nem Dateneingabe- und Datenausgabegerat (Ter- 
minal) zur Kommumkation mit dem tragbaren Da- 
tentrager, wobei der vom Benutzer flber das Termi- 
nal eingegebene Geheimcode mit dem im tragba- 
ren Datentrager gespeicherten Geheimcode vergU- 
chen wird, und bei einem falsch eingegebenen Ge- 
heimcode ein Fehlbedienungszahler (FBZ) im 
EEPROM des tragbaren Datentragers um eins er- 
hdht bzw. erniedrigt wird, so daB der tragbare Da- 
tentrager nach einer vorbestimmten Zahl yon Fehl- 
versuchen fur eine weitere Kommunikation auto- 
matisch gesperrt wird, dadurch gekennzeichnetf 
daB 

a) zu Beginn des Verfahrens der aktuelle Wert 
des Fehlbedienungszahlers in einer RAM-Zel- 
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